异常流量分析与响应技术解析

背景介绍

异常流量分析与响应技术具备显著区别于其他传统安全防护设备的目标定位。在通常的一个安全解决方案中，防护对象往往局限于目标网络中较为关键的计算资源节点或其集合(如应用逻辑服务器系统、业务数据服务器系统等)，这些防护目标具备物理上可确定的拓扑位置，并以此为核心展开各种方式的对应保护。这些保护方式可包括：

在安全区域边界点部署访问控制设备；

在关键资源网段部署行为深度检测设备；

为跨越不可信区域的高安全等级流量提供加密隧道；

针对防护区域进行定时/不定时的安全评估分析；

面向已知病毒传播设置查杀机制；

通过收集设备已有事件日志进行二次关联分析；

为提高防护作业效率而建立安全运维管理专家系统；

……

但是林林总总的传统防护技术却无法解决高端网络骨干链路的安全需求，这主要是由于骨干链路作为横跨各个接入网络的过渡区域的特点而造成的：

高端网络是Internet概念的主要实现载体，是各接入客户网络云团之间的唯一互联路径，不直接面向桌面系统提供网络接入服务，而是面向特定范围内一系列的客户整体网络系统统一的提供宽带接入；

高端网络一般没有显著的计算资源存在，难以进行明确的访问窗口定义，因此无法设定各种显式的访问控制规则；

高端网络关注的是如何实现客户所要求的服务质量承诺，而这种服务质量的首要特征是带宽和响应速度，并直接影响到网络提供商的业务收益；

高端网络几乎不关注其接入用户究竟在传输什么样的应用层内容。

由于以上种种原因，高端网络运维管理部门无法从现有传统安全技术中获得有效的解决方案，亟需一种能够促进其客户服务质量承诺条款兑现的全新安全机制。异常流量分析与响应技术正是在这种强大的市场需求推动下应时而出的革命性安全解决方案。

项目详细描述

由于高端网络骨干链路是为各接入客户网络高速互联而设立的交换通道，基本没有计算资源存在，因此无法得到显式的访问窗口界定和系统脆弱性描述，流量分析系统可供操作的信息几乎均来源于网络流量特征。所以，各流量分析系统厂商也相应地把工作重点基于流量统计及特征分析进行展开。

在这种情形下，业内主要厂商将异常流量分析系统的数据采集几乎完全集中在流量数据抽样上，系统通过诸如NetFlow、Sflow、Cflowd、SNMP提交的数据进行建模统计分析，通过数据统计结果描述当前骨干网络中带宽资源的使用状况，并以模型分析结果力图反映出各类访问行为的合规性。

在这种设计思路中，系统呈现出以下工作特点：

完全的带外数据采集，对原有数据流向不造成任何影响；

能够反映出骨干流量的统计特征，并以此作出网络整体层面上的访问行为合规判别；

利用Flow技术体系的抽样机制，可灵活适应监控流量负载的变化；

同时，由于系统仅限于对骨干链路进行抽样特征采集，因而缺少流量应用层信息的描述，无法判断应用层内容的合法性；

另外，系统缺乏对网元设备的监控分析。网元设备作为网络拓扑中的节点单元，其运行状态和执行策略同样是影响骨干网络服务质量的关键因素，但并没有出现在系统分析范围中，因此造成片面依赖于流量统计分析数据的“一条腿走路”局面。

系统原理说明

东软不仅是中国网络安全解决方案阵营中的代表厂商，而且在运营级网络规划、建设和运行维护方面同样造诣颇深。丰富的从业经验带来坚实的技术沉淀，东软公司将其久经实际考验的运营级网络管理维护经验与网络安全运维理论体系高度结合起来，充分考虑高端网络为实现客户服务质量承诺条款所面临的各种具体问题，以崭新的技术观点诠释了高端运营级骨干网络安全维护的解决思路。

东软NetEye异常流量分析与响应系统（NTARS）分别从数据分析对象种类、流量分析深度、事件响应手段多个层面进行必要扩充，撷取网络安全理论与网络运维技术的多重优势，使NTARS系统在异常流量分析技术发展路线中迈出里程碑式的一大步，并造就了东软NTARS令人耳目一新的标志特征。

在流量抽样统计分析基础上，NetEye NTARS增加了应用层深度检测功能。由于很多网络资源滥用行为(如P2P通信)无法通过Flow的特征字段得以详细描述，因此NTARS内置了应用协议深层检测模块，并可由流量抽样分析模块进行驱动调节，自动对可疑流量按需启动协议分析、内容过滤、报文还原等操作，即可保证流量分析范围的横向幅度，又可实现关键流量检测的纵向深度，从而达到高带宽流量海量处理能力与应用层协议深层分析力度的协调统一；

NetEye NTARS兼顾了对网元设备的监控分析。在图论中，节点与连线均为构成一个图的基本元素，对于网络拓扑同样如此。高端网络的整体性能完全取决于构成这张拓扑图的“节点元素”(网元设备)和“连线元素”(物理链路)，片面地对某单一元素的检测分析都无法得出当前网络真实的状态。因此，在NTARS技术框架中，把链路流量建模和网元设备监控同时纳入到系统分析基础数据库中并在二者之间进行高度关联分析，不仅能够大幅度提高流量分析结果的准确率(如通过流量分析得出的“流量异常”表象往往有可能是由于网元设备错误策略配置等内在因素所诱发的)，而且通过对网元设备的主动分析、调节还可较精确的预期流量走势以及缓解异常流量带来的影响；

NetEye NTARS增加更具实际意义的响应手段。分析报告生成几乎是异常流量分析系统的主要数据输出方式，但高端网络管理员几乎没有足够的时间对那些“流水帐”进行一一分析并作出合理修正操作。NTARS通过增加新的响应手段一举扭转了这种“不作为”的局面，NTARS在管理员的配置策略允许前提下，能够自动对异常行为作出智能响应以快速缓解异常流量造成的后果，如自动调整路由设备ACL/防火墙过滤策略/交换设备端口接入控制(NAC)、诱导异常流量进入应用检测、DDoS防护、病毒过滤等针对性功能单元，可大幅度降低管理员作业负担并提高系统防护力度。

针对运营级骨干网络环境，东软NTARS从网络安全防护体系和网络运行维护体系两个层面双管齐下，综合运用网络安全技术和管理维护技术的互补优势，直接面向高度网络运行维护实际需求，是运营网络为最大程度实现客户服务质量承诺条款的有利支撑工具。（责任编辑：崔平）